Descoberto grave bug em programas
Windows
Um erro
grave no programa de correio eletrrônico do sistema operacional Windows
da Microsoft, descobrto nos últimos dias, permite que hackers introduzam
código maligno na própria mensagem remetida e criem assim
uma nova geração de vírus que agem independentemente
da ação do usuário, apagando todos os arquivos existentes
no computador do internauta. Hoje (20/7), a Microsoft colocou em seu site
uma atualização de sistemas que corrige o problema.
Segundo o jornal eletrônico
ABKNet,
editado por um brasileiro na Alemanha, a falha está na tecnologia
ActiveX usada pela Microsoft, atingindo as versões Outlook Express
4.0,
4.01, 5.0 e 5.01, bem como as versões Outlook 97, Outlook 98 e 2000.
É o mais grave erro técnico descoberto por especialistas
num programa desse tipo.
"Ao contrario dos virus tradicionais,
o novo virus não necessita sequer que esteja em arquivos anexados",
nem há necessidade do usuário abrir arquivos vinculados à
mensagem. "O grupo de pesquisa conhecido como Underground Security Systems
Research declarou já ter
conseguido introduzir em testes um código deste tipo em e-mails.
O instituto de seguranca de computadores SANS considerou o problema
como o mais grave erro de programacao
até hoje descoberto. A Microsoft assumiu a existência do erro
e está alertando os usuários em sua homepage em inglês",
informa o boletim da ABKNet.
A falha - O boletim
do SANS Institute confirma que o usuário fica vulnerável
simplesmente lendo um e-mail recebido que contenha o código maligno.
E relata que o primeiro alerta foi dado em 27/6 por Georgi Guninski. O
SANS desenvolveu os testes e comprovou ser uma das mais sérias falhas
das estações de trabalho com Windows nos últimos anos.
Consultada, a Microsoft respondeu que só informaria detalhes após
ter um programa corretivo. Em 14/7, a empresa divulgou comunicado sobre
o assunto, e agora é apresentada a atualização dos
programas.
Segundo o instituto, o Internet Explorer
usa um tag de objeto que carrega um controle ActiveX, que normalmente é
um arquivo executável. Entretanto, os documentos do MS Office também
são controles AtiveX. Na instalação-padrão
(default), os controles ActiveX são carregados atuomaticamente,
sem aviso ao usuário. O Internet Explorer pode ser configurado para
dar esse alerta ao usuário, mas há uma falha importante pela
qual o alerta só aparee quando o controle solicitado é um
arquivo de dados do MS Accesss (extensão *.MDB).
Explica o SANS que a ordem de eventos
nesse caso é: 1) o usuário abre uma página Web com
um tag de objeto; o Internet Explorer carrega (por download) o banco de
dados e chama o Access para abrir esse arquivo; 3) o Internet Explorer
alrta o usuário, solicitando que autorize a abertura do arquivo;
4) O usuário clica em [Não]; 5) o Internet Explorer apresenta
uma mensagem de erro de que algum código nessa página é
inseguro.
"Como pode ser visto nessa sequëncia
de eventos, a ordem de execução é falha. O Internet
Explorer está abrindo o arquivo do Access antes de perguntar
ao usuário se pode fazê-lo. Agora, se o usuário tiver
desabilitado inteiramente a execução de controles ActiveX,
a seguinte sequência de eventos deve ocorrer: 1) o usuário
abre uma página Web com tag Objeto; 2) o Internet Explorer carrega
o arquivo de dados e chama o Access para abrí-lo; 3) O Internet
Explorer informa o usuário de que algum código na página
é inseguro. Ainda assim, o arquivo de dados é aberto antes
do Internet Explorer verificar se devem ser executados controles ActiveX.
"A Microsoft chama esse problema
de vulnerabilidade IE Script. O título é enganador pois implica
que se o Active Scripting está desabilitado o código maligno
não
funcionaria. Isso não é verdade", completa o SANS, explicando
que, como demonstrou, desabilitar a execução de scripts não
barra a ação do arquivo com código malicioso (o vírus,
se for o caso).
Por outro lado, torna-se muito fácil
enviar código maligno através de e-mail HTML, pois muitos
programas populares de correio eletrônico, como Outlook, Outlook
Express e Eudora permitem uma pré-visualização, que
mostra mensagens formatadas com código HTML. O interpretador usado
para esses programas é o Internet Explorer. Assim, o usuário
não precisa abrir o e-mail ou carregar nada para um eventual código
maligno funcionar. Além disso, se essa mensagem com código
maligno for a única na caixa de mensagens no momento em que esta
for aberta, será automaticamente executada nesse momento.
"Este é um problema muito
sério devido ao poder da linguagem Visual Basic for Applications
(VBA) usada no Access. Access pode rodar código VBA quando o banco
de dados é aberto. Nós tivemos sucesso em fazer o Access
se conectar a um arquivo de rede de trabalho Windows (CIFS) compartilhado
na Internet e rodar um programa a prtir dele. Assim, um atacante pode rodar
um programa com código maligno que não precisa residir na
máquina do usuário."
O boletim especial do SANS Institute
informa que a vulnerabilidade afeta todos os sistemas Windows (2000, NT
4.0, 98 e 95), que tenham instalados os programas MS Access 97 ou 2000;
Internet Explorer 4.0 ou superior, incluindo 5.5 (Windows 2000 inclui IE
5); sistemas com Outlook, Outlook Express, Eudora ou qualquer outro leitor
de correio eletrônico que use o Internet explorer para apresentar
código HTML.
Mais uma - Outra falha do
gênero é que o Excel 2000 e o PowerPoint 97 e 2000 podem ser
chamados por script de dentro do Internet Explorer para gravar um arquivo
numa locação arbitrária do disco rígido do
usuário, tão logo o usuário acesse esse trecho de
código. Isso habilita um atacante a salvar arquivos em lugares como
o diretório Iniciar usado pelo ambiente Windows do computador da
vítima.
Essa vulnerabilidade não é
explorável se o Active Scripting e/ou a execução dos
controles ActiveX estiverem desabilitados. O problema é que o Excel
e o PowerPoint são marcados como seguros para a execução
de rotinas (scripting). O arquivo de correção do programa
(patch) deverá marcá-los como inseguros para a execução
dessas rotinas.
Vínculos - A informação
do SANS é completada com instruções técnicas
aos administradores de redes para o bloqueio de códigos e do compartilhamento
de bancos de dados, fechamento de portas de comunicação (UDP
138, UDP e TCP 139, e UDP e TCP 445) etc. Há também indicações
sobre páginas da Microsoft que abordam a questão e linguagem
técnica (adequada aos especialistas em programação
de computadores), além dos arquivos de correção, para
download.
São estes os endereços
citados para os downloads de arquivos corretivos:
Office Update
http://officeupdate.microsoft.com
Microsoft Excel 2000 and PowerPoint
2000:
http://officeupdate.microsoft.com/2000/downloaddetails/Addinsec.htm
Microsoft PowerPoint 97:
http://officeupdate.microsoft.com/downloaddetails/PPt97sec.htm
Para mais informações,
o instituto sugere:
Microsoft Security Bulletin MS00-049
http://www.microsoft.com/technet/security/bulletin/MS00-049.asp
Frequently Asked Questions: Microsoft
Security Bulletin MS00-049
http://www.microsoft.com/technet/security/bulletin/fq00-049sp
Microsoft Knowledge Base (KB) article
Q268365 "XL2000: Update Available for HTML Script Vulnerability"
http://www.microsoft.com/technet/support/kb.asp?ID=268365
Microsoft Knowledge Base (KB) article
Q268457 "PPT2000: Update Available for HTML Script Vulnerability"
http://www.microsoft.com/technet/support/kb.asp?ID=268457
Microsoft Knowledge Base (KB) article
Q268477 "PPT97: Update Available for HTML Script Vulnerability"
http://www.microsoft.com/technet/support/kb.asp?ID=268477 |